WAF製品の比較14選!選び方や導入のポイントも解説
WAFの各サービス資料を厳選。無料でダウンロード可能です。
ボクシルおすすめWAF 【Sponsored】
| BLUE Sphere |
|---|
 |
| 無料トライアル:◯ フリープラン:✕ 利用料金:45,000円~ |
| ・セキュリティ対策に加えて、サイバーセキュリティ保険も付帯 ・あらゆるぜい弱性や攻撃にも対応する機能を搭載 ・専門家による個別チューニングで高性能なWAF |
WAFとは
それではWAFの概要を簡単に紹介します。
下の記事では本記事以上にていねいにWAFを紹介しています。詳しく知りたい方は下の記事をぜひご覧ください。
WAF(Web Application Firewall)とは、ウイルスや不正アクセスなど、ネットワークを介した外部からの攻撃を防御するセキュリティの一種です。セキュリティの中でもWAFは、Webサイトの運営側と利用者側の間でウィルスや不正アクセスを防ぐ特徴があります。
WAFは文字どおり、Webアプリケーションにおいて活躍するセキュリティです。
Webアプリケーションといってもスマホのようなアプリを指すのではなく、いわゆるWebサイトのことをいいます。
Webサイトとユーザー間のぜい弱性につけこんで行われる不正なアクセスなどを、WAFは防ぎます。
では、実際にどのようなWAF製品があるのかでしょうか。
ここからは、よく利用されているWAF製品について見ていきましょう。
「BOXIL SaaS AWARD 2022」の受賞サービス
「BOXIL SaaS AWARD」は、スマートキャンプの運営するSaaS比較サイト「BOXIL SaaS」が、毎年3月4日をSaaSの日(サースの日)として主催しているイベントです。「BOXIL SaaS AWARD 2022」では、働き方や事業推進の変化に役立ったサービスを定量・定性面の双方から評価して表彰しました。
【WAFのカテゴリで受賞したサービス】
【厳選】WAF製品15選
近年導入数が増えているWAFですが、きちんと効果を得るためには最適な製品選びが重要です。
自社に合った製品を見つけるために、タイプによって異なる特徴を理解し、製品の比較ポイントを確認しましょう。
攻撃遮断くん - 株式会社サイバーセキュリティクラウド
- 国内トップクラスのシェア
- 低価格・高セキュリティを実現
- 業界で唯一サイバー保険を付帯
攻撃遮断くんは、WebサーバやWebサイトへのサイバー攻撃を遮断し、それらの攻撃などの脅威から企業とユーザーを守ります。最短翌営業日から導入が可能で、保守・運用に一切の手間も必要なく利用できるセキュリティサービスです。
国内トップクラスのシェアを持ち、業界で唯一クラウド型WAFにサイバー保険を付帯しているサービスです。
Sophos Firewall - 株式会社ジャパンコンピューターサービス
- 単一のコンソールですべてのSophos製品を管理
- Intercept Xとのリアルタイム統合が可能
- 大企業から教育機関まであらゆる環境に適応
Sophos Firewallは、業界初の独自のセキュリティ機能を兼ね備えた次世代ファイアウォールです。専用アプライアンスによる柔軟性、接続性、信頼性を備え、多彩な機種で利用できます。リアルタイム統合でアプリの可視化、脅威の監視と自動隔離を実現し、オールインワンでの保護が可能です。大企業や教育機関といったさまざまな環境に対応しており、ユーザーごとの規模感にあわせた機能と価格で利用できるので、コスト削減にもつながります。
BLUE Sphere - 株式会社アイロバ
- サイバー攻撃からWebサイトを包括的に守る
- サイバーセキュリティ保険付帯で万一の場合も安心
- 総データ量と平均帯域による従量課金制で料金はリーズナブル
BLUE Sphereは、さまざまなサイバー攻撃を対策し、サイバーセキュリティ保険で万一の事態にも備えられるクラウド型サービスです。
WAF・DDoS防御・改ざん検知・DNS監視など、あらゆるセキュリティ対策をひとつにまとめることで、Webサイトを包括的に守ります。サイバーセキュリティ保険が付帯し、損害賠償や費用損害を補償。また、利用料金は3か月の総データ量と平均帯域で変動するため、コストの無駄もかかりません。
WafCharm(ワフチャーム) - 株式会社サイバーセキュリティクラウド
- シグネチャの自動選択・カスタマイズ・新規作成ができる
- 導入から新規ぜい弱性の対応まで手放し運用が可能
- 人によるサポートでAIでカバーできない領域をカバー
WafCharmは、AIとビッグデータを組み合わせたWAF自動運用ツールです。国内500社、5,000サイト以上の企業情報を守ってきた実績で得たビックデータをAIが学習し、Webサイトごとに、AWS WAF/Azure WAFのルールを自動で最適化させます。WAFで漏れた脅威に対しては、数百ものシグネチャ(署名になぞらえた機能やデータ)で再マッチングを行い、攻撃者と認定したIPをブラックリストとして遮断します。
CloudCoffer on Cloud - 株式会社レイ・イージス・ジャパン
- サービス使用前後にぜい弱性自動診断ツールによる診断あり
- 外部攻撃だけでなくWebサイト側からの異常なレスポンスも検知
- 複数FQDNをまとめて保護可能
CloudCoffer on Cloudは、世界トップクラスの金融機関で使用されるAIエンジンを搭載したセキュリティサービスです。世界中に設置された16万か所※のハニーポットから攻撃情報を収集し、AIエンジンの精度を向上しています。
既知の攻撃だけでなく、AIが自動生成した亜種や難読化した攻撃などを学習し、ゼロデイ攻撃に対しても高い検知率を実現しています。
※ボクシル掲載資料参照(2022年5月時点)
secuWAF - 株式会社セキュアイノベーション
- 自動でアップデートされる強力なセキュリティ機能
- WAF以外のセキュリティ対策も搭載
- 一般的なクラウドWAFと比べセキュリティ機能が充実
secuWAF(セキュワフ)は、強力なセキュリティ機能と自動アップデートにより、常に最新の脅威に対応するクラウドWAFです。WAF冗長構成やIPブラックリストなど、一般的なクラウドWAFではオプションとなっているような機能もデフォルトで利用できます。また、WAF以外のセキュリティ対策も選定プランや機能によっては設定可能なため、Webサイトのセキュリティをより磐石なものにします。
Barracuda Web Application Firewall - バラクーダネットワークスジャパン株式会社
- 短時間でXSS/SQLインジェクション対策完了
- L7 DDoS、IPレピュテーション対策が可能
- 日本語化された見やすいインターフェース
Barracuda Web Application Firewallは、WAFの国内販売台数シェアNo.1の実績を誇るサービスで、構成に合わせて複数の導入方式を選べます。短時間、低価格でWebアプリケーションを脅威から守り、Webサービスのセキュリティを極限まで向上させます。
MSS for Imperva Incapsula - SBテクノロジー株式会社
- 専門アナリストによるアラート分析
- レポートでセキュリティ情報把握
- チューニング設定代行で負荷軽減
マネージドセキュリティサービス for Imperva Incapsulaは、ソフトバンク・テクノロジーのクラウドWAFサービス「Imperva Incapsula」の運用・監視をセキュリティ専門アナリストが24時間365日代行してくれるマネージドサービスです。
アラートを検知すると、専門アナリストが内容を分析して重要なアラートだけを通知してくれます。独自のフォーマットによるレポートで、 Incapsula の統計情報やインシデント履歴情報などの把握が可能です。Incapsulaの設定変更やチューニング設定も代行してもらえるので、自社の負荷軽減とシステム最適化を同時に図れます。
Cloudbric - ペンタセキュリティシステムズ株式会社
- Webサイト保護に必要なすべてのセキュリティ機能を提供
- ユーザーフレンドリーな仕様
- データセンターで管理するため災害にも強い
Cloudbricは、保護されていないWebサイトのためのセキュリティサービスです。セキュリティの専門家やITシステムの管理者でなくても使える直観的なユーザーインターフェースを用意しています。
より安心に保護できる無料SSL証明書の提供を開始し、論理演算基盤のエンジンの採用により、高精度な検知と遮断を実現しています。
リーズナブルな価格で高度なセキュリティソリューションを利用できるサービスです。
SCT SECURE クラウドWAF EXP - 三和コムテック株式会社
- ポリシーチューニングが簡単にできる
- 短期間の急激なアクセス増加にも対応可能
- コンテンツキャッシュ機能
SCT SECURE クラウドWAF EXPは、Webアプリケーションへの攻撃やDDoS攻撃を防ぎます。WAFポリシー推奨機能を搭載しており簡単にポリシーチューニングができます。ネットワークが安定しているので短期間の急激なアクセス増加にも対応可能です。WAF機能に加えコンテンツキャッシュ機能を搭載しているため、Webサーバへの負荷が軽減されます。
AEGIS (イージス)Security Systems - 株式会社ROCKETWORKS
- NATO指定ベンダーへの供給実績あり
- 工事・運用が不要なクラウドサービス
- オールインワンで幅広い守備範囲を防御
AEGIS Security Systemsは、クラウド型で24時間監視します。クラウドサービスによる防御システムであるため、工事や運用などの作業や追加料金は不要です。独自のノウハウが蓄積されたシグネチャを用いて守備範囲をオールインワンで防御します。
WAF BENKEI - 株式会社オロ
- サイト別に専用WAFサーバーを構築が可能
- 無料トライアル2週間でお試しが可能
- スモールスタートがしやすいプラン設定
WAF BENKEIとは、サーバ・Webサイトをサイバー攻撃から守るクラウド型WAFセキュリティサービスです。従来からあるセキュリティ対策製品とは違い、ハードウェアやサーバの構築が不要で導入がしやすく、また運用の手間もかからないことが最大の特徴です。防御できるサイバー攻撃は、クロスサイトスクリプティング・SQLインジェクション・ディレクトリトラバーサルなど多彩な手口に対応しています。
デジサート クラウド型WAF
- 最新のぜい弱性対策を常に反映
- 緊急パッチ対応の軽減
- 明確で安価な利用料金
シマンテック クラウド型WAFは、 SaaS/ASPのサービスで、ウェブアプリケーションファイアウォールの機能を提供しています。SSLサーバ証明書でウェブサイトとの通信を安全に行うようにするだけでなく、情報漏えいを防ぐ手段としてクラウド型のWAFを提供しています。
ウェブサイトセキュリティの強化と予算の平準化というメリットが得られます。
Incapsula
- 強力なボット検知力と動的な攻撃学習能力でWeb攻撃を撃退
- Webのユーザー体験に影響を与えることなくDOS攻撃を排除
- アプリケーションのパフォーマンスを高速化
Incapsulaは、クラウドから高品質のWeb アプリケーション・ファイアウォールを提供しており、Webサイトダウンの機会損失を低減してくれます。PCI DSSレベル1認定を受けたWebアプリケーション・ファイアウォールで、ハッカーやボットを強力に防御します。
また、高品質のコンテンツ・デリバリ・ネットワークが、Web サイトのパフォーマンスを向上させます。
3つの提供形式
WAF製品が提供される形態にはさまざまな種類があります。代表的な3つのタイプのWAFを紹介します。
自社に合うタイプはどれか、違いを確認しながら最適なタイプを選んでください。
アプライアンス型
アプライアンス型は、ネットワーク上に設置するタイプのWAFです。
アプライアンスとは専用のハードウェアのこと。サーバーの動作環境や台数に関わらず環境構築ができる点が魅力です。大規模であれば、より高いコストパフォーマンスを得られます。
導入には機器の購入と初期設定が必要。他のタイプに比べてコストが高く、自社での運用が必須です。専任の人員とセキュリティ対策に十分な予算を確保できる企業向けのWAFと言えるでしょう。
ソフトウェア型
ソフトウェア型はWebサーバーにインストールするタイプのWAFです。専用機器の購入などが不要で、アプライアンス型に比べるとコストを抑えられます。
またネットワーク構成の見直しが不要で、導入期間を短縮できる点も魅力です。
ただし、Webサーバーごとの導入となるため、稼動数が多い場合には不向きです。運用も自社で行う必要があります。
クラウド型
クラウド型は月額または年額契約で導入可能なタイプのWAFです。
機器の購入は不要で、導入時はDNSの設定変更のみ。自社での運用も必要ありません。
低コスト・短納期で導入でき、運用コストの軽減も図れることから、他のタイプからクラウド型へ切り替える企業も増えています。
ただし利用するサービスによって、他のタイプよりも性能が劣る場合がある点には注意が必要。メリットを享受するためには、十分な事前検討が欠かせません。
WAF製品の比較ポイント
次はいよいよ製品選びの際にチェックしておきたいポイントです。
WAFを導入するにあたって何よりも大切なことは、自社に合った製品を選ぶこと。
数あるサービスの中から最適な製品を選ぶためのポイントを確認しておきましょう。
1. 初期費用と運用コスト
導入にかかる費用は、導入時の初期費用だけに目を奪われないよう注意が必要です。なぜなら、自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースもあるからです。
導入と運用のトータルでのコストを比較しましょう。自社での運用が必要な場合は、人的コストも忘れてはいけません。人員の数はもちろん、どの程度運用業務に専念する必要があるのかによってもコストは変わります。
また、単純に安ければ良いというわけではなく、性能やサービスとのバランスを見ることも大切です。
各社のWAF比較を行い、十分な機能が揃っているか、初期費用・運用コストが見合っているかシュミレーションしてみましょう。WAFメーカーでは導入前に見積もりやシュミレーションを行ってくれるところも多いので、問い合わせてみましょう。
2. 導入後の拡張性
製品の性能を比べる際には、拡張性も意識しておきましょう。Webサイトやシステムなどは、将来的に規模が大きくなる可能性があります。
その際、拡張性がないとWAFの運用が弊害となる可能性すらあります。自社の状況に合った製品を選ぶことは大切ですが、現在だけでなく将来も見据えた比較検討が必要です。
3. サポート体制の充実度
どんな製品・サービスにも共通して言えることではありますが、比較の際には導入後のサポート体制も大切な指標にしておくことをおすすめします。
性能は同様に思えても、サポート内容はセキュリティベンダーによってさまざまだからです。
特にWAFは、防御体制を常に最新の状態にしておくことが必要です。
たとえば、攻撃パターンをもとに不正アクセスを検知するブラックリスト方式であれば、シグネチャの定期的な調整が必要です。
また、安全が確認されている対象以外を排除するホワイトリスト方式であれば、パラメータの細かい設定が必要になります。
これらをどこまでサポートしてくれるのか。またそれ自体にも費用がかかるのかなど、サポート体制についてもしっかりと比較しましょう。WAFはセキュリティに関わるシステムであることから、緊急時の対応も重要なポイント。定期的なメンテナンスはもちろん、もしものときに対応ができるか確認しておくことも大切です。
4. 導入実績(導入数と企業)
WAFの製品選びでは、実績も重視したいポイントです。
導入実績が豊富ということは、それだけ多くの信頼を集めているという証。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えて良いはずです。
実績を比較する際は導入数はもちろん大切ですが、どのような企業に導入されているかも確認しておきましょう。そうすることで、自社との相性がわかりやすいかもしれません。
5. セキュリティレベルと用途のバランス
自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。
そもそもセキュリティが弱いの問題外ですが、場合によっては強すぎることが問題になることもあります。
正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があるからです。
そのため製品の比較検討は、どの程度のセキュリティレベルを求めるかを明確にしてから行う必要があります。
WAF製品を導入するコツ
自社に合ったWAFを選ぶには、次の2点が大切です。
- 最適なタイプを選ぶこと
- 比較のポイントを意識して製品選びをすること
そのためにはまず、自社の状況を把握することや、何に対してWAFの効果を期待しているのかなど、一度社内で整理しておくのが良いようです。そうすることで、より自社に合ったWAF選びができるのではないでしょうか。
WAFの必要性や、ファイアウォールなど他のセキュリティとの役割の違いなどについて詳しく知りたい方はこちらの記事をご覧ください。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計800社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査
